De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden de ISE-services, het doel en de probleemoplossing beschreven.
Cisco raadt u aan kennis te hebben van Cisco Identity Services Engine.
Het document is niet beperkt tot bepaalde software- en hardwareversies van Cisco Identity Services Engine.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Cisco Identity Services Engine (ISE) is een uitgebreide oplossing die is ontworpen om geavanceerde netwerkbeveiliging te bieden via gecentraliseerd beleidsbeheer, verificatie, autorisatie en accounting (AAA). Het stelt organisaties in staat om netwerktoegang voor gebruikers, apparaten en toepassingen te beheren en tegelijkertijd te zorgen voor beveiliging, naleving en naadloze gebruikerservaringen.
Om deze doelstellingen te bereiken, maakt Cisco ISE gebruik van een reeks services die elk verantwoordelijk zijn voor specifieke taken die het systeem efficiënt laten functioneren. Deze diensten werken samen om veilige netwerktoegang, robuuste beleidshandhaving, gedetailleerde vastlegging, naadloze integraties met externe systemen, en efficiënte apparatenprofilering te verzekeren.
Elke dienst in ISE speelt een cruciale rol bij het behoud van de integriteit en beschikbaarheid van de oplossing. Sommige diensten behandelen kernfuncties, zoals gegevensbestandbeheer en authentificatie, terwijl anderen geavanceerde eigenschappen zoals apparaat het profileren, certificaatbeheer, en controle toelaten.
Dit artikel biedt een overzicht van de verschillende services in Cisco ISE, waarin het doel, het belang en de mogelijke stappen voor probleemoplossing worden uitgelegd als er problemen zijn. Of u nu een beheerder of een netwerkbeveiligingsprofessional bent, het begrijpen van deze services helpt u ervoor te zorgen dat uw ISE-implementatie soepel en veilig verloopt.
De in de screenshot genoemde diensten worden door ISE gebruikt om de functionaliteit ervan te ondersteunen. Controleer de status of services die beschikbaar zijn in ISE met behulp van show application status ise commando via CLI van ISE-knooppunt. Hier is een voorbeelduitvoer die de status of beschikbare services op de ISE toont.
Diensten beschikbaar in ISE.
Bekijk nu elke dienst in detail.
De dienst van de Luisteraar van het gegevensbestand is een kritieke component die in het beheren van de communicatie tussen ISE en de gegevensbestandserver helpt. Het luistert naar en verwerkt verzoeken met betrekking tot de database, zodat het ISE-systeem kan lezen van en schrijven naar de onderliggende database.
Communicatie-interface: Het fungeert als de communicatie brug tussen ISE en de databaseserver, waardoor het systeem gegevens kan ophalen en opslaan zoals gebruikersreferenties, sessieinformatie, netwerkbeleid en meer.
Ondersteuning van externe database: ISE kan worden geconfigureerd voor het gebruik van een externe database (zoals Oracle of Microsoft SQL Server) voor gebruikersverificatie en beleidsopslag. De Database Listener Service zorgt ervoor dat ISE op een veilige en efficiënte manier met deze externe database verbinding kan maken en kan communiceren.
Gegevensverwerking: De dienst luistert naar databasevragen van het ISE-systeem en vertaalt deze vervolgens in de juiste acties op de externe database. Het kan verzoeken behandelen zoals het opnemen van, het bijwerken van, of het schrappen van verslagen, evenals het terugwinnen van informatie uit het gegevensbestand.
Database Health Monitoring: Naast het aanbieden van het communicatiekanaal, helpt het ook ervoor te zorgen dat de verbinding met de externe database stabiel en operationeel is. Als de verbinding mislukt, valt ISE terug naar de lokale opslag of gaat een gedegradeerde modus in, afhankelijk van de configuratie.
De database server service is verantwoordelijk voor het beheer van de opslag en het ophalen van gegevens die door het systeem worden gebruikt. Het behandelt de interactie met het onderliggende gegevensbestand dat ISE gebruikt om configuratie, beleidsinformatie, gebruikersgegevens, authentificatielogboeken, apparatenprofielen, en andere noodzakelijke informatie op te slaan.
1. Interne gegevensopslag: De Database Server Service beheert voornamelijk de interne ingesloten database die ISE gebruikt om operationele gegevens lokaal op te slaan. Dit omvat gegevens zoals verificatie- en autorisatiegegevens, gebruikersprofielen, beleid voor netwerktoegang, informatie over apparaten en endpoints, sessiegegevens.
2. Ingesloten database: In de meeste implementaties van Cisco ISE gebruikt het systeem een ingesloten PostgreSQL-database voor lokale opslag. De Database Server Service zorgt ervoor dat deze database soepel werkt en alle vragen, updates en beheerstaken met betrekking tot de daarin opgeslagen gegevens verwerkt.
3. Databaseintegriteit: De dienst zorgt ervoor dat alle transacties correct worden verwerkt en dat de integriteit van de database wordt gehandhaafd. Het behandelt taken zoals het vergrendelen van records, het beheren van databaseverbindingen en het uitvoeren van databasevragen.
De Database Listener en Database Server zijn essentiële diensten die moeten samenwerken voor alle andere diensten om goed te functioneren. Als deze services niet actief zijn of vastzitten tijdens de initialisatie, helpen deze stappen voor probleemoplossing bij herstel.
1. Start de ISE-services opnieuw met de opdrachten stop ISE en start ISE van applicatie.
2. Als dit een VM-knooppunt is, moet het opnieuw opstarten van de knooppunt van VM helpen bij het herstel van services.
3. Als het knooppunt een fysiek knooppunt is, moet het herstarten / opnieuw laden van het knooppunt vanuit CIMC helpen bij het herstel van de services.
4. Als de database is beschadigd, neemt u contact op met Cisco TAC voor verdere probleemoplossing.
De Database Listener en Database Server gaan meestal naar beneden of starten niet wanneer er een discrepantie in de database is of wanneer de database niet goed kan initialiseren. In die gevallen moet het uitvoeren van applicatie reset door gebruik te maken van de commando applicatie reset-config ise helpen bij herstel en nieuwe initiatie van de database. Het uitvoeren van de applicatie reset-config ISE opdracht verwijdert configuraties en certificaten, maar IP-adres en domeinnaamdetails blijven behouden. Het wordt aanbevolen om contact op te nemen met Cisco TAC voor meer informatie en om het potentiële effect te begrijpen voordat u deze opdracht op een knooppunt in de implementatie toepast.
Application Server is een belangrijk onderdeel dat verantwoordelijk is voor het beheer en beheer van de kernfuncties en -services van het ISE-platform. Het host de bedrijfslogica, gebruikersinterfaces en services die ISE in staat stellen om haar rol te vervullen in netwerktoegangscontrole, verificatie, autorisatie, accounting en beleidsbeheer.
1. Gebruikersinterface (UI): De Application Server Service is verantwoordelijk voor het renderen van de webgebaseerde gebruikersinterface (UI) voor ISE. Hiermee kunnen beheerders beleid configureren en beheren, logboeken en rapporten weergeven en communiceren met andere functies van ISE.
2. Servicebeheer: Zij is verantwoordelijk voor de afhandeling van de verschillende diensten die ISE levert, waaronder beleidsbeheer, administratieve taken en communicatie met andere ISE-knooppunten in een gedistribueerde uitrol.
3. Gecentraliseerde verwerking: De Application Server Service speelt een centrale rol in de ISE-architectuur en biedt de logica van beleid, verificatieverzoeken en gegevens van netwerkapparaten, directories en externe services.
Toepassingsserver is afhankelijk van weinig webtoepassingen zoals certificaten, resources, implementatie en licenties. Wanneer een van de webtoepassingen niet kan worden geïnitialiseerd, blijft de toepassingsserver vastzitten in de initialiserende status. Toepassingsserver heeft 15 tot 35 minuten nodig om → te starten → staat van uitvoering te starten, afhankelijk van de configuratiegegevens op het knooppunt.
Controleer de status van de toepassingsserver met behulp van show application status ise opdracht van CLI van de ISE-knooppunt. De meeste logbestanden met betrekking tot de toepassingsserver zijn beschikbaar onder de
Catalina.Out en Localhost.log bestanden.
Als aan de genoemde voorwaarden is voldaan en de toepassingsserver blijft vastzitten in de initialiserende status, beveilig de ondersteuningsbundel van CLI/GUI van ISE. Herstel / start de services opnieuw door gebruik te maken van de applicatie stop ise en applicatie start ise commando's.
Profiler Database is een gespecialiseerde database die wordt gebruikt om informatie op te slaan over netwerkapparaten, endpoints en apparaatprofielen die door de Profiler-service zijn ontdekt. Profiler is een kritisch onderdeel van ISE dat automatisch netwerkapparaten (zoals computers, smartphones, printers, IoT-apparaten enzovoort) identificeert en classificeert op basis van netwerkkenmerken en -gedrag.
1. Apparaatprofilering: De belangrijkste functie van de Profiler Database Service is het ondersteunen van het profileringsproces. ISE gebruikt deze service om de informatie op te slaan die tijdens het opstellen van profielen wordt verzameld, zoals:
2. Profilergegevens: Het slaat profiler attributen zoals de apparatenhardware en de softwareprofielen op, die worden gebruikt om apparaten aan vooraf bepaald beleid aan te passen. Deze informatie wordt ook gebruikt om apparaten dynamisch toe te wijzen aan het juiste beleid voor netwerktoegang of aan VLAN’s op basis van hun profiel.
3. Profileringsproces: Het profileringsproces is doorgaans gebaseerd op:
1. Van ISE CLI, looppas tonen de opdracht van de toepassingsstatus ISE om te verifiëren profiler database service loopt.
2. Navigeer vanuit GUI van het knooppunt Primaire beheerder naar Beheer > Implementatie > selecteer het knooppunt. Klik op Bewerken en controleren of de sessieservices en de profileringsservices zijn ingeschakeld.
3. Ga nu naar Beheer > Implementatie > Selecteer het knooppunt. Ga naar Profiler-configuratie en controleer of de vereiste sondes zijn ingeschakeld voor het beveiligen van de eindpuntgegevens.
4. Navigeren naar Beheer > Systeem > Profileren en controleren van profielinstellingen die zijn geconfigureerd voor CoA.
5. Van Context-zichtbaarheid > Eindpunten > Selecteer de eindpunten en controleer de kenmerken die door verschillende sondes voor eindpunten zijn verzameld.
Handige debugs voor het oplossen van problemen met het profileren van problemen:
Indexing Engine is een service die verantwoordelijk is voor efficiënt zoeken, indexeren en ophalen van gegevens die zijn opgeslagen in de ISE-database. Het verbetert de prestaties en schaalbaarheid van ISE, in het bijzonder wanneer het gaat om het verwerken van grote hoeveelheden gegevens en het bieden van snelle toegang tot informatie die nodig is voor authenticatie, autorisatie, monitoring en rapportage.
Belangrijkste punten over de ISE-indexeringsengine in ISE
1. Gegevensindexering: De ISE Indexing Engine maakt indexen voor verschillende soorten gegevens die in ISE zijn opgeslagen, zoals verificatielogboeken, sessielogboeken, beleidshits, profileringsgegevens en records voor netwerktoegang. Het indexeren helpt bij het organiseren van deze gegevens op een manier die het zoeken en het vragen efficiënter maakt.
2. Logbeheer en -rapportage: Deze dienst speelt een kritieke rol in logboekbeheer door de prestaties van rapportering en logboekvragen te verbeteren. Wanneer u bijvoorbeeld zoekt naar specifieke authenticatie-gebeurtenissen, maakt de indexeringsmachine het mogelijk om de gewenste records sneller terug te halen, wat cruciaal is voor de beveiligingsbewaking en nalevingsrapportage.
3.Data ophalen: De indexeringsmachine is ook verantwoordelijk voor het waarborgen dat ISE op efficiënte wijze geïndexeerde gegevens kan ophalen uit de onderliggende database wanneer dat nodig is. Hierdoor kan ISE snelle antwoorden bieden op vragen van de gebruikersinterface, externe tools of API's.
De indexeringsmotor wordt gebruikt door Context Visibility en de Indexeringsmotor moet operationeel zijn voor Context-zichtbaarheid om te werken. Nuttige logbestanden die kunnen helpen bij het oplossen van problemen met Indexing Engine zijn ADE.log-bestanden die kunnen worden beveiligd uit de ondersteuningsbundel of via CLI kunnen worden getagd door gebruik te maken van de show-logboeksysteem ade/ADE.log staartopdracht tijdens het probleem.
AD Connector (Active Directory Connector) is een service waarmee ISE kan integreren met Microsoft Active Directory (AD), waardoor ISE gebruikers kan verifiëren, autoriseren en beheren op basis van hun AD-referenties en groepslidmaatschap. De AD Connector fungeert als een brug tussen ISE en Active Directory, waardoor ISE kan profiteren van AD voor netwerktoegangscontrole (NAC) en beleidshandhaving.
1. Integratie met Active Directory: De AD Connector Service fungeert als een brug tussen ISE en Active Directory. Het maakt het voor ISE mogelijk om veilig verbinding te maken met AD, zodat ISE AD kan gebruiken als een gecentraliseerd identiteitsarchief voor gebruikersverificatie en beleidshandhaving.
2. Synchronisatie: De AD Connector Service ondersteunt het synchroniseren van gebruikers- en groepsgegevens van Active Directory naar ISE. Dit zorgt ervoor dat ISE actuele informatie over gebruikers en groepen heeft, wat cruciaal is voor een nauwkeurige handhaving van het beleid.
3. Beveiligde communicatie: De AD Connector Service creëert veilige communicatiekanalen tussen ISE en Active Directory, waarbij doorgaans gebruik wordt gemaakt van protocollen zoals LDAP over SSL (LDAPS) om de privacy en integriteit van gegevens te garanderen tijdens authenticatie- en zoekprocessen.
4. Ondersteuning van meerdere Active Directory-domeinen: De service kan verbindingen met meerdere Active Directory-domeinen ondersteunen. Dit is met name nuttig in grote of multidomeinomgevingen, waar ISE gebruikers uit verschillende AD-bossen of -domeinen moet authenticeren.
5. Gebruiker en groep zoeken: Hiermee kan ISE AD opvragen voor gebruikers- en groepsinformatie. Dit kan details zoals gebruikersnamen, groepslidmaatschap, en andere gebruikerseigenschappen omvatten die kunnen worden gebruikt om beleid van de netwerktoegang af te dwingen. Zo kan het beleid voor netwerktoegang worden toegepast op basis van het lidmaatschap van een AD-groep van een gebruiker (bijvoorbeeld: verschillende toegangsniveaus te verlenen aan gebruikers in verschillende groepen).
1. Controleer of NTP synchroon is met de knooppunten en het tijdsverschil tussen AD en ISE moet minder dan 5 minuten zijn.
2. Controleer of DNS-server de FQDN’s en domeinen met betrekking tot de AD kan oplossen.
3. Ga naar Operations > Reports > Reports > Diagnostics > AD-connector Operations, controleer de gebeurtenissen of rapporten met betrekking tot AD.
De nuttige logboeken voor het oplossen van problemen zijn ad_agent.log met debug logboeken voor runtime component.
M&T Session Database (Monitoring and Troubleshooting Session Database) speelt een cruciale rol in het opslaan en beheren van sessiegerelateerde gegevens voor netwerktoegangsgebeurtenissen. De M&T Session Database bevat informatie over actieve sessies, waaronder gebruikersverificaties, apparaatverbindingen en netwerktoegangsgebeurtenissen, die essentieel is voor het bewaken, oplossen en analyseren van netwerkactiviteit.
1. Sessiegegevensopslag: De M&T Session Database Service is verantwoordelijk voor het opslaan en indexeren van gegevens over gebruikers- en apparaatsessies op het netwerk. Dit omvat begin- en eindtijden van sessies, verificatieresultaten, de gebruiker- of apparaatidentiteit en het bijbehorende beleid (zoals roltoewijzingen of VLAN-toewijzingen). De gegevens omvatten ook RADIUS-boekhoudingsinformatie die de sessielevenscyclus gedetailleerd weergeeft, met inbegrip van de eerste authenticatie en alle boekhoudingsberichten die sessiegebeurtenissen volgen.
2. Realtime en historische gegevens: De service biedt toegang tot realtime sessiegegevens (actieve sessies) en historische sessiegegevens (eerdere sessies). Hiermee kunnen beheerders niet alleen continue gebruikerstoegang controleren, maar ook terugkijken naar eerdere sessielogboeken om problemen te onderzoeken of toegangsgebeurtenissen te valideren. Real-time sessiebewaking kan ervoor zorgen dat er momenteel geen onbevoegde apparaten op het netwerk zijn geïnstalleerd.
3. Verbeterde bewaking: Biedt inzicht in de activiteit van gebruikers en apparaten, inclusief het beleid dat op hun sessies wordt toegepast, om potentiële beveiligingsproblemen of onbevoegde toegang te helpen detecteren.
4. Accountantscontrole en verslaglegging: Vergemakkelijkt nalevingscontrole en rapportering door een geschiedenis van netwerktoegangsgebeurtenissen op te slaan en gegevens voor regelgevende rapportering te verstrekken.
1. Controleer of het knooppunt met aanbevolen bronnen is toegewezen.
2. Beveiligde show tech-support van ISE CLI voor verdere verificatie van de kwestie.
3. Reset M&T sessie Database door de applicatie configureer ISE commando in te voeren via ISE CLI en selecteer optie 1.
Opmerking: Reset M&T database moet alleen worden gedaan nadat de potentiële impact in de implementatie is geverifieerd. Neem contact op met Cisco TAC voor verdere verificatie.
Bekende gebreken
M&T Log Processor (Monitoring and Troubleshooting Log Processor) is een component die verantwoordelijk is voor het verzamelen, verwerken en beheren van loggegevens die door verschillende services binnen ISE worden gegenereerd. Het is een belangrijk onderdeel van het kader Monitoring and Troubleshooting (M&T), dat beheerders helpt bij het bewaken en oplossen van problemen met netwerktoegangsgebeurtenissen, verificatiepogingen, beleidshandhaving en andere activiteiten binnen het ISE-systeem. De M&T Log Processor behandelt specifiek de verwerking van loggegevens, waardoor ISE de benodigde informatie kan opslaan, analyseren en presenteren voor rapportage, audits en probleemoplossing.
1. Inzameling en verwerking van stamhout: De M&T Log Processor Service verzamelt en verwerkt logbestanden die worden gegenereerd door verschillende ISE-componenten, zoals verificatieaanvragen, autorisatiebeslissingen, boekhoudberichten en beleidsafdwingingsactiviteiten. Deze logboeken omvatten gedetailleerde informatie over gebruikers, apparaten, en pogingen van de netwerktoegang, zoals tijdstempels, gebruiker-IDs, apparatentypes, toegepast beleid, succes of mislukking van toegangsverzoeken, en redenen voor mislukkingen.
2. Rapportage en naleving: Logbestanden die door deze service worden verwerkt, zijn van cruciaal belang voor rapportage over naleving. Vele verordeningen vereisen organisaties om logboeken van gebruikerstoegang en veiligheidsgebeurtenissen te behouden. De M&T Log Processor Service zorgt ervoor dat alle relevante logbestanden worden verwerkt en beschikbaar zijn voor nalevingscontroles. Het helpt bij het genereren van gedetailleerde rapporten op basis van loggegevens, zoals logbestanden met gebruikerstoegang, succes-/mislukkingspercentages voor verificatie of logbestanden met beleidshandhaving.
1. Zorg ervoor dat het ISE-knooppunt wordt geïmplementeerd met de aanbevolen bronnen volgens de Cisco-installatiegids.
2. Om het probleem te verifiëren, voer show logging systeem ade/ADE.log staartcommando uit via ISE CLI voor relevante uitzonderingen / fouten.
Bekende gebreken
De Dienst van de certificaatautoriteit (CA) is een kritieke component die helpt digitale certificaten beheren voor het beveiligen van mededelingen en het voor authentiek verklaren van apparaten, gebruikers, en netwerkdiensten. Digitale certificaten zijn essentieel voor het tot stand brengen van betrouwbare verbindingen en het waarborgen van veilige communicatie tussen clients (computers, smartphones, netwerkapparaten) en netwerkinfrastructuurcomponenten (switches, draadloze access points, VPN-gateways). De CA-service in Cisco ISE werkt in combinatie met X.509-certificaten, die worden gebruikt voor verschillende doeleinden in netwerkbeveiliging, waaronder 802.1X-verificatie, VPN-toegang, beveiligde communicatie en SSL/TLS-codering.
1. Certificaatbeheer: De dienst van de Certificaatautoriteit is verantwoordelijk voor de aanmaak, afgifte, het beheer en de vernieuwing van digitale certificaten binnen ISE. Deze certificaten worden gebruikt voor verschillende verificatieprotocollen en coderingsdoeleinden in het netwerk. Het kan fungeren als de interne certificeringsinstantie of integreren met een externe CA (bijvoorbeeld: Microsoft AD CS, openbare CA’s zoals VeriSign of DigiCert) om certificaten af te geven.
2. Afgifte van certificaten: Voor omgevingen waarvoor EAP-TLS of soortgelijke op certificaten gebaseerde verificatiemethoden vereist zijn, kan ISE-certificaten afgeven voor netwerktoegangsapparaten (NAD’s), gebruikers of endpoints. ISE kan automatisch certificaten genereren en implementeren voor het authenticeren van apparaten en gebruikers, of het kan certificaten aanvragen bij een externe CA.
3. Inschrijving van het certificaat: De CA-service ondersteunt certificaatinschrijving voor endpoints, zoals laptops, telefoons en andere netwerkapparaten, die via certificaten moeten worden geverifieerd naar het netwerk. ISE maakt gebruik van protocollen zoals SCEP (Simple Certificate Enrollment Protocol) of ACME (Automated Certificate Management Environment) om de inschrijving van certificaten voor apparaten te vergemakkelijken.
4. Verlenging van het certificaat: De service automatiseert de verlenging van verloopcertificaten voor zowel apparaten als gebruikers. Het zorgt ervoor dat de certificaten altijd geldig en bijgewerkt zijn, die de dienstonderbrekingen door verlopen certificaten verhinderen.
5. Integratie met externe certificeringsinstanties: terwijl ISE als eigen CA kan optreden, is het gebruikelijker om te integreren met een externe CA (bijvoorbeeld: Microsoft Active Directory (certificaatservices). De CA-service kan de interactie tussen ISE en de externe CA beheren, waarbij naar behoefte certificaten worden aangevraagd voor gebruikers, apparaten en netwerkbronnen.
Inschrijving over Secure Transport (EST) Service is een protocol dat wordt gebruikt voor de veilige afgifte van digitale certificaten aan netwerkapparaten en gebruikers in een op certificaten gebaseerde verificatie-omgeving. EST is een protocol voor certificaatinschrijving waarmee apparaten op een veilige en geautomatiseerde manier certificaten kunnen aanvragen bij een certificeringsinstantie (CA). EST-service is met name nuttig voor apparaatverificatie, zoals in 802.1X-omgevingen, VPN-verbindingen of BYOD-scenario's (Bring Your Own Device), waarbij apparaten aan het netwerk moeten worden geverifieerd met behulp van certificaten.
1.Inschrijving certificaat: De EST-service is verantwoordelijk voor het mogelijk maken van beveiligde certificaatinschrijving voor apparaten (zoals switches, toegangspunten of endpoints) waarvoor certificaten vereist zijn voor verificatiedoeleinden. De inschrijving vindt plaats via een beveiligd transport (doorgaans HTTPS), waarbij het proces wordt versleuteld en beschermd tegen toegang door onbevoegden.
2. Intrekking en verlenging van het certificaat: Zodra certificaten zijn ingeschreven, speelt de EST-dienst ook een rol bij het beheer van de intrekking of verlenging van certificaten. Apparaten moeten bijvoorbeeld een nieuw certificaat aanvragen wanneer het huidige certificaat verloopt. EST kan dit proces helpen automatiseren.
3. Verbeterde netwerktoegangscontrole: Door apparaten in staat te stellen om te authenticeren met behulp van certificaten, versterkt de EST-service de veiligheidshouding van het netwerk, met name in omgevingen met 802.1X-verificatie.
SXP Engine Service is verantwoordelijk voor het beheer en het vergemakkelijken van de communicatie tussen ISE en netwerkapparaten met behulp van de Security Group Tag (SGT) en Security Group Exchange Protocol (SXP). Het speelt een kritieke rol in het ondersteunen van TrustSec-beleid, dat wordt gebruikt om netwerktoegangscontrole af te dwingen op basis van de Security Group van het apparaat in plaats van alleen IP-adressen of MAC-adressen. De SXP Engine in ISE wordt voornamelijk gebruikt voor de uitwisseling van informatie over beveiligingsgroepen, die helpt bij het afdwingen van beleid op basis van gebruikers- of apparaatidentiteit, toepassing en locatie. Hiermee kunnen apparaten Security Group Tags (SGT's) delen, die worden gebruikt om beveiligingsbeleid af te dwingen over netwerkapparaten, zoals switches en routers.
1.Integratie met TrustSec: SXP wordt meestal geïmplementeerd in omgevingen die gebruikmaken van Cisco TrustSec, een oplossing die een consistent beveiligingsbeleid via zowel bekabelde als draadloze netwerken afdwingt. De SXP Engine vergemakkelijkt de communicatie van SGT's tussen apparaten, waardoor dynamische beleidshandhaving mogelijk wordt op basis van de veiligheidscontext van een apparaat of gebruiker.
2. Security Group Tags (SGT’s): De kern van de beleidshandhaving van TrustSec draait om SGT’s. Deze tags worden gebruikt om netwerkverkeer te classificeren en het SXP-protocol helpt bij het delen van de toewijzing van deze tags aan specifieke gebruikers of apparaten. Dit zorgt voor granulaire, beleidsgestuurde controle over netwerktoegang en verkeersstroom.
1. Standaard is de SXP Engine-service uitgeschakeld in ISE. Als u dit wilt inschakelen, gaat u naar de ISE-GUI > Beheer > Implementatie en selecteert u het knooppunt. Selecteer het vakje SXP-service inschakelen en kies de interface. Controleer vervolgens de status van de SXP Engine service van de ISE CLI met de opdracht Application Status ISE.
2.Als er problemen zijn met netwerkcommunicatie, controleert u of de interface die is toegewezen aan de SXP-engine een geldig IP-adres heeft met behulp van de opdracht interface tonen in de CLI en zorgt u ervoor dat het IP-subnet is toegestaan in het netwerk.
3. Controleer de actieve RADIUS-logbestanden om de gebeurtenissen met de SXP-verbinding op ISE te verifiëren.
4.Schakel de SXP-component op de ISE-knooppunten in om relevante logs en uitzonderingen met betrekking tot SXP te debuggen en vast te leggen.
TC-NAC Service (TrustSec Network Access Control) is een component die de handhaving van TrustSec-beleid op netwerkapparaten vergemakkelijkt, waarbij ervoor wordt gezorgd dat het toegangsbeheer is gebaseerd op Security Group Tags (SGT's) in plaats van traditionele IP- of MAC-adressen.
TrustSec, op zijn beurt, is een door Cisco ontwikkeld kader dat de handhaving van het veiligheidsbeleid over het netwerk toelaat dat op apparatenrollen, gebruikers, of contexten wordt gebaseerd, eerder dan het gebruiken van erfenismechanismen zoals VLAN’s of IP-adressen. Het biedt een meer granulaire en dynamische netwerktoegangscontrole door apparaten te groeperen in verschillende beveiligingsgroepen en ze te labelen met SGT's.
1. Integratie met NAC-systemen van derden: De TC-NAC-service stelt ISE in staat te communiceren en te communiceren met oplossingen van derden voor netwerktoegangscontrole. Dit kan handig zijn voor organisaties die over een bestaande NAC-infrastructuur beschikken, maar deze willen integreren met Cisco ISE om de functionaliteit te verbeteren, extra beveiligingsbeleid te gebruiken of gebruik te maken van andere netwerkbeveiligingsfuncties van Cisco.
2. Naadloze handhaving van het beleid: Wanneer zij geïntegreerd is met NAC-oplossingen van derden, kan ISE bepaalde aspecten van beleidshandhaving en besluitvorming overnemen. Dit maakt een meer uniform beleidskader mogelijk en zorgt ervoor dat het beleid dat wordt toegepast door zowel Cisco- als niet-Cisco NAC-systemen consistent is over het netwerk.
3. Ondersteuning voor oudere NAC-systemen: De TC-NAC Service helpt organisaties die bestaande NAC-systemen hebben, zodat ze deze systemen kunnen blijven gebruiken terwijl ze Cisco ISE overnemen voor de verbeterde beveiligingsfuncties. ISE kan integreren met oudere NAC-oplossingen en hun levenscyclus uitbreiden, waardoor toegangscontrole, beveiliging en nalevingscontrole tegelijkertijd mogelijk zijn.
4. Bevordering van de communicatie met NAC-leveranciers door derden: Deze service maakt het mogelijk dat ISE de communicatie met NAC-oplossingen van derden vergemakkelijkt door gebruik te maken van bedrijfseigen protocollen of standaarden. ISE kan interacteren met de NAC-systemen van derden via industriestandaard protocollen (zoals RADIUS, TACACS+ of SNMP) of aangepaste API's, afhankelijk van de specifieke NAC-oplossing die wordt gebruikt.
1. Controleer of Threat Centric NAC is ingeschakeld door te navigeren naar Beheer > Implementatie > PSN-knooppunt > Threat Centric NAC inschakelen.
2. Als het probleem zich voordoet bij de SourceFireAMP-adapter, controleert u of poort 443 is toegestaan in uw netwerk.
3. Controleer de details van de endpointsessie van Operations > Threat-Centric NAC Live Logs.
Alarmen geactiveerd door Threat Centric NAC:
Adapter niet bereikbaar (syslog-id: 91002): Geeft aan dat de adapter niet kan worden bereikt.
Adapterverbinding mislukt (syslog-id: 91018): Geeft aan dat de adapter bereikbaar is, maar dat de verbinding tussen de adapter en de bronserver uitvalt.
Adapter gestopt vanwege fout (syslog ID: 91006): Dit alarm wordt geactiveerd als de adapter niet in de gewenste toestand verkeert. Als dit alarm wordt weergegeven, controleert u de adapterconfiguratie en de serverconnectiviteit. Raadpleeg de logboeken van de adapter voor meer informatie.
Adapterfout (syslog-id: 91009): Geeft aan dat de adapter van Qualys geen verbinding kan maken met of informatie kan downloaden van de website van Qualys.
Handige debugs om de TC-NAC problemen op te lossen:
De PassiveID WMI-service is een service waarmee ISE apparaatprofilering kan uitvoeren met Windows Management Instrumentation (WMI) als een passief mechanisme voor het identificeren en profileren van endpoints in het netwerk. Het speelt een cruciale rol in apparatenprofilering, in het bijzonder in milieu's waar de apparaten die Windows OS in werking stellen nauwkeurig voor netwerktoegangscontrole en beleidshandhaving moeten worden geïdentificeerd.
1. Verzameling van apparaatidentiteiten: Met de PassiveID WMI-service kan ISE passief identiteitsinformatie verzamelen van Windows-apparaten met Windows Management Instrumentation (WMI). Het verzamelt systeemdetails zoals de hostnaam van het apparaat, OS-versie, en andere relevante kenmerken zonder dat het apparaat actief moet deelnemen.
2. Integratie met het ISE-beleid: De informatie die door de PassiveID WMI-dienst wordt verzameld, is geïntegreerd in het ISE-beleidskader. Het helpt bij de dynamische toepassing van beleid op basis van apparaatkenmerken zoals type, besturingssysteem en naleving van beveiligingsstandaarden.
Een zeer veilige en nauwkeurige bron, evenals de meest voorkomende, van waaruit om gebruikersinformatie te ontvangen. Als sonde, werkt AD met technologie WMI om geauthentiseerde gebruikersidentiteiten te leveren. Bovendien, AD zelf, in plaats van de sonde, functioneert als een bronsysteem (een leverancier) waarvan andere sondes gebruikersgegevens eveneens terugwinnen.
Handige debugs en informatie die vereist is voor het oplossen van problemen. Stel deze kenmerken in op debug niveau voor PassiveID WMI-problemen:
Informatie vereist voor probleemoplossing PassiveID WMI:
De PassiveID Syslog Service is een service die de PassiveID-profileringsfunctie in staat stelt om syslog-berichten van netwerkapparaten in de omgeving te verzamelen en te verwerken. Deze syslogberichten bevatten belangrijke informatie over de eindpunten die met het netwerk zijn verbonden en ISE gebruikt deze apparaten om deze apparaten te profileren voor netwerktoegangscontrole en beleidshandhaving.
1. Passieve verificatie: Met de service Passive ID Syslog kan Cisco ISE gebruikers en apparaten passief verifiëren door syslog-berichten te verzamelen van netwerkapparaten (zoals switches of routers) die de activiteit van gebruikers en apparaten aangeven. Dit is handig in situaties waar traditionele actieve methoden van authenticatie, zoals 802.1X, niet geschikt of haalbaar is.
2. Vastlegging van gebeurtenissen: De Passieve ID Syslog-service vertrouwt op het syslog-protocol om logbestanden te ontvangen van netwerkapparaten die de gebruikerstoegang en het gedrag op het netwerk volgen. De informatie in deze logboeken kan dingen zoals apparatenlogin pogingen, toegangspunten, en interfacedetails omvatten, die ISE passief helpen het apparaat of de gebruiker identificeren.
De PassiveID API Service is een service die integratie met systemen mogelijk maakt die informatie vereisen over de identiteit van apparaten of gebruikers die zijn verbonden met het netwerk. Het wordt meestal gebruikt in omgevingen waar netwerkbeheerders op identiteit gebaseerde beleidsregels en acties willen uitvoeren zonder dat voor elk apparaat actieve netwerkverificatieprotocollen zoals 802.1X nodig zijn.
1. Integratie met externe systemen: Met de Passieve ID API kan ISE identiteitsinformatie ontvangen van systemen of netwerkapparaten van derden (zoals switches, routers, firewalls of andere systemen die identiteitsgerelateerde gebeurtenissen kunnen genereren). Deze externe systemen kunnen informatie verzenden zoals syslog-berichten, authenticatielogboeken of andere relevante gegevens die ISE kunnen helpen om een gebruiker of apparaat passief te identificeren.
2. Passieve verificatie: De Passive ID API-service wordt gebruikt om gebruikers en apparaten passief te authenticeren door identiteitsgegevens te verzamelen zonder actieve verificatie te vereisen (bijvoorbeeld: geen 802.1X, MAB of webverificatie nodig). Het kan bijvoorbeeld informatie opnemen van netwerkapparaten, Active Directory-logbestanden of beveiligingsapplicaties en deze gebruiken om de gebruiker of het apparaat te identificeren.
3. Toewijzing van identiteitsgegevens: De Passieve ID API kan worden gebruikt om identiteitsgegevens in kaart te brengen aan specifiek beveiligingsbeleid. Deze informatie wordt gebruikt om dynamisch Security Group Tags (SGT’s) of rollen toe te wijzen aan gebruikers en apparaten, die dan van invloed zijn op de handhaving van netwerktoegangscontroles (zoals segmentering en firewallbeleid).
De PassiveID Agent Service is een service die apparaatprofilering mogelijk maakt door het gebruik van PassiveID Agents die op endpoints zijn geïnstalleerd (zoals computers, laptops, mobiele apparaten enzovoort). De PassiveID Agent stelt ISE in staat om het profileren van informatie over apparaten op het netwerk te verzamelen door te luisteren naar verkeer van endpoints, zonder actieve scans of directe interacties met de apparaten te vereisen.
1. Passieve gebruikers- en apparaatidentificatie: De service Passive ID Agent is verantwoordelijk voor het passief verzamelen van identiteitsgerelateerde informatie, doorgaans van netwerkapparaten of endpoints, en het verzenden van deze gegevens naar ISE. Met deze service kan ISE gebruikers en apparaten authenticeren en identificeren op basis van hun activiteiten of kenmerken, zonder dat actieve verificatie van het apparaat nodig is (bijvoorbeeld: zonder 802.1X-referenties).
2. Integratie met andere Cisco-componenten: De Passieve ID Agent werkt nauw samen met Cisco-netwerkapparaten, zoals switches, draadloze controllers en access points, om identiteitsgerelateerde informatie te verzamelen van netwerkverkeer, syslog-logbestanden of andere beheersystemen. Het kan ook worden geïntegreerd met Cisco TrustSec en Cisco Identity Services om deze gegevens in kaart te brengen naar specifieke Security Group Tags (SGT’s) of ander op identiteit gebaseerd beleid.
3. Contextuele netwerktoegangscontrole: De passieve ID-agent stuurt deze informatie naar Cisco ISE, die vervolgens het juiste toegangscontrolebeleid toepast op basis van de identiteit en context van de gebruiker of het apparaat. Dit kan zijn:
De PassiveID Endpoint Service is een service die verantwoordelijk is voor de identificatie en profilering van endpoints (apparaten) op het netwerk op basis van PassiveID-technologie. Deze service helpt ISE bij het verzamelen, verwerken en classificeren van informatie over apparaten die verbinding maken met het netwerk, zonder dat actieve interactie met de endpoints zelf vereist is. De PassiveID Endpoint Service speelt een kritieke rol bij het profileren, het beheer van netwerktoegang en de handhaving van het beveiligingsbeleid.
1. Passieve gebruikers- en apparaatidentificatie: De Passive ID Endpoint Service stelt Cisco ISE in staat apparaten op het netwerk passief te identificeren en te authenticeren door gebruik te maken van informatie uit netwerkactiviteit- of systeemlogboeken. Dit omvat het identificeren van gebruikers en apparaten op basis van hun netwerkgedrag of kenmerken, zoals MAC-adres, IP-adres of inloginformatie van een externe identiteitswinkel zoals Active Directory (AD).
2. Gegevensverzameling op eindpunten: De Endpoint Service verzamelt verschillende soorten endpointspecifieke gegevens uit verschillende bronnen:
De PassiveID SPAN-service is een service die SPAN-poort (Switched Port Analyzer) spiegelt op netwerkapparaten om netwerkverkeer op te nemen en te analyseren voor endpointprofilering. Deze service helpt ISE passief informatie te verzamelen over endpoints (apparaten) op het netwerk door hun netwerkcommunicatiepatronen te analyseren zonder actieve sondes of agents te vereisen die op de apparaten zelf zijn geïnstalleerd.
1. Passieve identiteitsverzameling van SPAN-verkeer: De PassiveID SPAN-service stelt ISE in staat om identiteitsgegevens te verzamelen op basis van netwerkverkeer dat wordt gespiegeld of gekopieerd via een SPAN-poort op een switch. Een SPAN-poort wordt doorgaans gebruikt voor netwerkbewaking door netwerkverkeer vanaf andere poorten of VLAN’s te spiegelen. Door dit verkeer te vangen, kan ISE passief identiteitsinformatie verzamelen zoals:
2. Opname van informatie over gebruikers- en apparaatidentiteit: De SPAN-service luistert vooral naar het verkeer dat door het netwerk gaat en identificeert belangrijke identiteitsinformatie van de netwerkpakketten zonder dat er direct met de apparaten hoeft te worden gecommuniceerd. Dit kan gegevens omvatten zoals:
1. PassiveID stack is een lijst van providers en alle services in PassiveID stack worden standaard uitgeschakeld. Navigeer naar ISE GUI > Beheer > Implementatie > Selecteer het knooppunt, Passieve Identity Service inschakelen, klik op Opslaan. Om de PassiveID stack-servicestatus te verifiëren, meldt u zich aan bij de CLI van ISE-knooppunt en voert u de opdracht Application Status Sise uit.
2. Als er problemen zijn met de Passieve ID Agent, controleert u of de FQDN van de agent oplosbaar is vanuit de ISE-knooppunt. Om dit uit te voeren, logt u in op de ISE-CLI en voert u nslookup < FQDN of Agent geconfigureerd > opdracht uit.
3. Zorg ervoor dat de ISE Indexing-engine actief is en dat zowel omgekeerde als voorwaartse DNS-lookups worden opgelost door de DNS- of naamserver die in ISE is geconfigureerd.
4. Om naadloze communicatie met de syslogproviders te garanderen, controleer UDP-poort 40514 en TCP-poort 1468 zijn geopend in uw netwerk.
5. Als u SPAN-provider op een knooppunt wilt configureren, controleert u of de ISE-service voor passieve identiteit is ingeschakeld. Controleer of de interface die u op de SPAN-provider wilt configureren, beschikbaar is in ISE met behulp van de opdracht Show interface van ISE CLI.
Om de logbestanden te controleren, gebaseerd op de Passieve ID provider, moet u passiveid-syslog.log, passiveid-agent.log, passiveid-api.log, passiveid-endpoint.log, passiveid-span.log bekijken. De genoemde logbestanden kunnen worden beveiligd vanuit de ondersteuningsbundel van ISE-knooppunt.
De DHCP Server (dhcpd) Service is een service die Dynamic Host Configuration Protocol (DHCP) functionaliteit biedt voor netwerkapparaten. Het wordt voornamelijk gebruikt om IP-adressen toe te wijzen aan apparaten (endpoints) die proberen verbinding te maken met het netwerk. In ISE speelt de DHCP-server een cruciale rol bij het ter beschikking stellen van IP-adressen aan endpoints die hierom vragen wanneer zij verbinding maken met het netwerk. De service kan ook aanvullende configuratie-informatie bieden, zoals DNS-servers, standaardgateway en andere netwerkinstellingen.
1. Dynamische IP-adrestoewijzing: De dhcpd-service in ISE fungeert als een DHCP-server, die IP-adrestoewijzing biedt voor apparaten die een IP-adres aanvragen wanneer ze verbinding maken met het netwerk. Dit is belangrijk in scenario's waar apparaten zich dynamisch bij het netwerk aansluiten, zoals in BYOD-omgevingen (Bring Your Own Device) of wanneer apparaten zijn geconfigureerd om hun IP-adressen automatisch te verkrijgen.
2. Op profiel gebaseerde DHCP: De dhcpd-service kan IP-adressen toewijzen op basis van het profiel van het apparaat. Als ISE het apparaat heeft geprofileerd (bijvoorbeeld: het bepalen van het is een smartphone, laptop, IoT-apparaat), kan het een geschikt IP-adres toewijzen of andere instellingen toepassen op basis van het type apparaat of de rol.
3. Ondersteuning voor DHCP Relay: ISE kan functioneren als een DHCP relay-agent, door te sturen DHCP-verzoeken van apparaten naar een externe DHCP-server als ISE de eigenlijke IP-adrestoewijzing niet afhandelt. In dit geval kan de dhcpd-service verzoeken van apparaten doorsturen naar een centrale DHCP-server, terwijl ISE netwerkbeleid en toegangscontroles blijft toepassen.
1. Neem contact op met Cisco TAC om te controleren of het DHCP-serverpakket op de ISE is geïnstalleerd.
2. Log in op de basis van ISE > rpm -qi dhcp.
De DNS Server (met naam) Service is een service waarmee ISE kan fungeren als een DNS-server (Domain Name System) of DNS-oplosser. Het is in de eerste plaats verantwoordelijk voor het oplossen van domeinnamen in IP-adressen en vice versa, het faciliteren van de communicatie tussen apparaten in het netwerk.
1. DNS-resolutie voor ISE-communicatie: De genoemde dienst in ISE helpt om domeinnamen aan IP adressen op te lossen. Dit is vooral belangrijk wanneer ISE verbinding moet maken met andere netwerkapparaten of externe services (zoals Radius-servers, Active Directory of externe NTP-servers) met domeinnamen in plaats van IP-adressen.
2. DNS-resolutie voor externe diensten: De DNS-dienst stelt ISE in staat om verbinding te maken met externe diensten die domeinnamen vereisen. Zo moet ISE bijvoorbeeld de namen van externe diensten oplossen zoals:
3. Multidomein- en redundante DNS-servers: ISE kan worden geconfigureerd voor het gebruik van meerdere DNS-servers voor redundantie. In het geval dat één DNS server niet beschikbaar wordt, kan ISE terugvallen op een andere DNS server om ononderbroken werking en DNS resolutie te verzekeren.
1. Controleer vanaf CLI van ISE-knooppunt de bereikbaarheid om server of DNS-server van de implementatie een naam te geven met de opdracht <IP of DNS-server / naam server>.
2. Controleer de DNS-resolutie van ISE-FQDN’s met behulp van de opdracht nslookup <FQDN/IP-adres van ISE-knooppunten> via ISE-CLI.
De ISE Messaging Service is een onderdeel dat asynchrone communicatie tussen verschillende diensten en componenten binnen het ISE-systeem vergemakkelijkt. Het speelt een cruciale rol in de algehele systeemarchitectuur van ISE, waardoor verschillende delen van het platform berichten kunnen verzenden en ontvangen, taken kunnen beheren en activiteiten kunnen synchroniseren.
1. Inter-Process Communication (IPC): De ISE Messaging Service speelt een belangrijke rol in het mogelijk maken van interprocess communicatie (IPC) tussen verschillende ISE-diensten. Het zorgt ervoor dat verschillende ISE-modules en -diensten, zoals authenticatie, autorisatie en beleidshandhaving, gegevens en instructies op een gecoördineerde manier kunnen uitwisselen.
2. Ondersteuning van gedistribueerde omgeving: In grotere of gedistribueerde ISE-implementaties (zoals in configuraties met meerdere knooppunten of hoge beschikbaarheid) helpt de Messaging Service de communicatie tussen de verschillende ISE-knooppunten te vergemakkelijken. Dit waarborgt dat gegevens, zoals verificatieverzoeken, gebruikerssessies en beleidsupdates, correct gesynchroniseerd zijn over verschillende knooppunten binnen het ISE-systeem.
3. Beleids- en configuratiesync: De Messaging Service is betrokken bij het synchroniseren van configuraties en beleid tussen ISE-knooppunten. Wanneer de configuratie wordt gewijzigd in een primair knooppunt, zorgt de service ervoor dat deze wijzigingen worden doorgegeven aan secundaire of back-upknooppunten in het systeem. Dit is essentieel bij het handhaven van consistentie en het ervoor zorgen dat het beleid voor netwerktoegang dat op verschillende locaties of gedistribueerde ISE-knooppunten wordt toegepast, gesynchroniseerd blijft.
1. Controleer dat poort TCP 8671 niet geblokkeerd is in firewall, aangezien deze poort wordt gebruikt voor communicatie tussen ISE-apparaten onderling.
2. Controleer voor wachtrij link fout en als er zijn, vernieuw de ISE-berichten en ISE Root CA-certificaten als wachtrij link fouten meestal optreden vanwege de interne certificaat corruptie problemen. Om fouten in de wachtrij op te lossen, vernieuwt u het ISE-berichtenverkeer en het ISE-rootcertificaat van CA door te verwijzen naar het artikel: ISE- Queue Link Error
3. Vanuit GUI -> Administratie -> Certificaten -> Selecteer ISE-berichtencertificaat. Klik op Weergave om de status van het certificaat te controleren.
Handige logbestanden om problemen op te lossen ISE Messaging Service is ade.log dat beschikbaar is in de ondersteuningsbundel of kan worden getaild via CLI door gebruik te maken van show logging systeem ade/ADE.log staart opdracht tijdens het probleem.
4. Als de ADE.log showup rabbitmq: verbinding geweigerd fouten, neem contact op met Cisco TAC om de vergrendeling voor Rabbitmq module te verwijderen van ISE Root.
De ISE API Gateway Database Service is een onderdeel dat verantwoordelijk is voor het beheer en de verwerking van gegevens met betrekking tot API-verzoeken en antwoorden binnen het ISE-systeem. Het fungeert als een tussenpersoon die de ISE API Gateway met de ISE API-database verbindt, waardoor Aangepaste toepassingen ook gegevens binnen ISE kunnen bijwerken of wijzigen. (Bijvoorbeeld, het aanpassen van toegangsbeleid of het toevoegen/verwijderen van gebruikers) door API-oproepen die door de service worden beheerd.
1. API-toegang tot ISE-gegevens: De ISE API Gateway Database Service fungeert als een brug, waardoor externe applicaties via de ISE RESTful API's kunnen interacteren met de ISE-database. Deze API's kunnen worden gebruikt om gegevens op te halen of te wijzigen die zijn opgeslagen in de ISE-database, zoals:
2. Integratie van externe systemen mogelijk maken: Deze dienst speelt een cruciale rol bij de integratie van ISE in externe systemen zoals:
Door API-toegang te bieden, stelt de API Gateway Database Service deze externe systemen in staat om ISE-gegevens te bevragen, updates naar ISE te verzenden of specifieke acties binnen ISE te starten in reactie op externe gebeurtenissen.
3. Ondersteunende RESTful API-communicatie: ISE onthult RESTful API's die zijn ontworpen om te werken via HTTP/HTTPS. De API Gateway Database Service is verantwoordelijk voor het beheer van de stroom van API-verzoeken en antwoorden, waarbij ervoor wordt gezorgd dat verzoeken worden geauthenticeerd, verwerkt en dat de juiste gegevens uit de ISE-database worden teruggestuurd.
De ISE API Gateway Service is een cruciaal onderdeel dat RESTful API-toegang biedt tot ISE-services, gegevens en functies. Het fungeert als een brug tussen ISE en externe systemen, waardoor deze systemen programmatisch kunnen interacteren met ISE-netwerktoegangscontrole, beleidshandhaving, authenticatie en andere diensten. De API Gateway stelt toepassingen van derden, netwerkbeheersystemen en aangepaste toepassingen in staat om met Cisco ISE te communiceren zonder handmatige interventie of directe toegang tot de ISE-gebruikersinterface.
1. API-toegang tot ISE inschakelen: De ISE API Gateway Service maakt het mogelijk dat externe systemen veilig toegang hebben tot en communiceren met Cisco ISE-gegevens en -beleid met behulp van RESTful API's. Dit biedt programmatische toegang tot ISE-functies, zoals authenticatie, beleidshandhaving, sessiebeheer en meer.
2. Programmatische controle: De API Gateway Service maakt programmatische controle over ISE-functies mogelijk. Beheerders en ontwikkelaars kunnen API's gebruiken om:
Deze controle kan voor automatisering of douanewerkstroomorkestratie worden hefboomd, zoals dynamisch het aanpassen van netwerktoegangsbeleid dat op gegevens in real time wordt gebaseerd of het integreren van ISE in een breder platform van de veiligheidsautomatisering.
3. Monitoring en rapportage: De API Gateway Service maakt het mogelijk dat externe systemen gegevens verzamelen uit operationele ISE-logboeken, sessiegeschiedenis en beleidsafdwingingsdetails. Dit is belangrijk voor:
API-oproepen kunnen worden gebruikt om logbestanden, audit-informatie en gebeurtenissen op te halen, zodat beveiligingsteams de ISE-activiteiten kunnen bewaken vanuit een gecentraliseerd dashboard of rapportagetool.
1. Controleer of het beheercertificaat van het ISE-knooppunt actief en geldig is. Navigeer naar Beheer > Certificaten > Selecteer het knooppunt > Beheer certificaat selecteren. Klik op Weergave om de status van het beheercertificaat van het ISE-knooppunt te verifiëren.
2. Stel ISE-api-gateway, api-gateway, apiservice-componenten in om te debuggen en de logs kunnen worden getaild met behulp van deze opdrachten:
De ISE PxGrid Direct Service is een kritieke component die de functionaliteit van pxGrid (Platform Exchange Grid) in ISE ondersteunt. pxGrid is een Cisco-technologie die veilig, gestandaardiseerd en schaalbaar delen van gegevens en integratie tussen Cisco-netwerkbeveiligingsoplossingen en toepassingen, services en apparaten van derden vergemakkelijkt. De ISE pxGrid Direct Service maakt directe communicatie tussen ISE en andere pxGrid-compatibele systemen mogelijk zonder dat er intermediaire apparaten of diensten nodig zijn.
1. Directe integratie met systemen van derden: De ISE pxGrid Direct Service maakt het mogelijk dat ISE direct kan integreren met de beveiligingssystemen van derden, zoals firewalls, routers, NAC-oplossingen, SIEM-platforms en andere beveiligingsapparaten. Het staat deze systemen toe om informatie betreffende de gebeurtenissen van de netwerktoegang, veiligheidsincidenten, en contextuele netwerkgegevens uit te wisselen.
2. Context sharing: Een van de belangrijkste functies van pxGrid is het delen van contextuele informatie (zoals apparaatidentiteiten, gebruikersrollen, veiligheidshouding en netwerktoegangsinformatie). Met de PxGrid Direct Service kan ISE deze context direct delen met andere apparaten of toepassingen zonder te vertrouwen op traditionele methoden zoals RADIUS of TACACS+.
3. Vereenvoudigde communicatie: Door pxGrid te gebruiken, kan ISE informatie communiceren en uitwisselen met oplossingen van derden door gebruik te maken van een gestandaardiseerd protocol. Dit vereenvoudigt het integratieproces, omdat systemen geen eigen integraties nodig hebben voor elke oplossing van een derde.
4. Verbeterde beveiliging en naleving: De PxGrid Direct Service verbetert ook de veiligheidshouding en -naleving door ervoor te zorgen dat alle systemen in het netwerk-ecosysteem toegang hebben tot dezelfde realtime, contextuele gegevens over gebruikers, apparaten en beveiligingsbeleid. Dit zorgt voor een beter gecoördineerde handhaving van het netwerkbeveiligingsbeleid in de gehele omgeving.
1. Neem contact op met Cisco TAC om te verifiëren of edda*.lock* aanwezig is in de /tmp map. Als dat het geval is, verwijdert Cisco TAC de vergrendeling en start de Direct-service van PxGrid uit de hoofdmap opnieuw.
2. Stel de PxGrid Direct-component in om te debuggen in het ISE-knooppunt voor probleemoplossing. De logbestanden kunnen worden beveiligd via ISE-ondersteuningsbundel of ISE-CLI met behulp van deze opdrachten:
logboekapplicatie pxgriddirect-service.log tonen
toon registrerentoepassing pxgriddirect-connector.log
De genoemde logbestanden bieden informatie over de endpointgegevens die worden opgehaald en ontvangen door Cisco ISE, samen met de connectiviteitsstatus van NetGrid Connector.
De Segmentatiebeleidsservice is een belangrijke component die verantwoordelijk is voor het afdwingen van beleid voor netwerksegmentatie op basis van gebruikersidentiteit, apparaatpositie of andere contextuele informatie. Het helpt de toegang van gebruikers en apparaten tot specifieke netwerksegmenten te controleren, ervoor zorgend dat slechts de gemachtigde gebruikers of de volgzame apparaten tot bepaalde delen van het netwerk kunnen toegang hebben. Netwerksegmentatie is essentieel voor het beperken van de aanvalsoppervlakte van het netwerk, het voorkomen van zijdelingse beweging van bedreigingen, en het verzekeren van naleving van regels. De Segmentation Policy Service in ISE wordt gebruikt om deze netwerksegmentatieregels dynamisch en flexibel over het netwerk af te dwingen.
1. Netwerksegmenten definiëren: Met de Segmentation Policy Service in ISE kunnen beheerders verschillende netwerksegmenten (subnetten of VLAN’s) definiëren op basis van de kenmerken van gebruikers of apparaten. Voorbeeld:
2. Dynamische segmentering: Deze service maakt dynamische netwerksegmentatie mogelijk, wat betekent dat de netwerksegmenten of VLAN’s kunnen veranderen op basis van real-time omstandigheden. Voorbeeld:
3. Op beleid gebaseerde handhaving: De Segmentation Policy Service maakt gebruik van beleid om beslissingen te nemen over de vraag in welk segment een apparaat of gebruiker moet worden geplaatst. Dit beleid kan rekening houden met verschillende factoren, zoals:
4. Handhaving van het veiligheidsbeleid: De Segmentation Policy Service zorgt ervoor dat het beveiligingsbeleid consequent over netwerkapparaten (zoals switches, routers, firewalls) wordt afgedwongen door gebruik te maken van industriestandaarden zoals RADIUS en VLAN-toewijzing. Dit stelt Cisco ISE in staat met netwerkinfrastructuurapparaten te communiceren om het vereiste segmentatiebeleid af te dwingen.
1. Controleer of de segmentatie goed is geconfigureerd door te navigeren naar Werkcentra > TrustSec > Overzicht > Dashboard.
2. Werkcentra > TrustSec > Rapporten, selecteer TrustSec-rapporten om de status en rapporten van de dienst voor segmentatiebeleid te verifiëren.
De REST Autorisatieservice is een service die verificatiemogelijkheden biedt met behulp van RESTful API's. Het stelt externe toepassingen en systemen in staat om gebruikers of apparaten te authenticeren door interactie met ISE via HTTP(S) met behulp van standaard REST-protocollen. Deze service maakt een naadloze integratie van Cisco ISE-verificatiefuncties met toepassingen of systemen van derden mogelijk die gebruikers of apparaten moeten verifiëren, maar niet de traditionele methoden (zoals RADIUS of TACACS+) kunnen gebruiken.
1. RESTvolledige verificatie: De REST Auth Service maakt verificatieaanvragen via het REST API-protocol mogelijk. Hierdoor zijn externe systemen mogelijk (bijvoorbeeld: toepassingen, externe netwerkapparaten of services) om gebruikers of apparaten te verifiëren met ISE als verificatieserver, maar via RESTful web service calls in plaats van traditionele verificatieprotocollen zoals RADIUS of TACACS+.
2. Integratie met externe toepassingen: Deze service is ontworpen voor externe toepassingen die gebruikers of apparaten moeten verifiëren maar geen traditionele verificatiemethoden (zoals RADIUS of TACACS+) gebruiken. In plaats daarvan kunnen ze via REST API's met ISE communiceren, waardoor het eenvoudiger wordt om ISE-verificatie te integreren in web-based of cloud-native applicaties.
3. Flexibele en schaalbare verificatie: De REST-autorisatieservice biedt een schaalbare methode van authenticatie die niet beperkt is tot alleen netwerkapparaten of oplossingen op locatie. Het kan worden gebruikt door cloudservices, mobiele applicaties en andere webgebaseerde platforms die gebruikers of apparaten moeten authenticeren door naar ISE te vragen voor referenties en beleid.
4. Gemakkelijk aan te brengen: De REST API biedt een gestandaardiseerde interface, die gemakkelijker is toe te passen en te integreren met moderne software en toepassingen in vergelijking met traditionele methoden. Het biedt door JSON geformatteerde reacties en gebruikt HTTP-methoden zoals GET, POST, PUT en DELETE, waardoor het toegankelijker wordt voor webontwikkelaars en systemen die ISE integreren voor verificatie.
1. Om problemen met Open API op te lossen, stelt u een debug Service-component in.
2. Om problemen met betrekking tot ERS API op te lossen, stelt u ers component in voor debug.
Als de API service GUI pagina: https://{iseip}:{port}/api/swagger-ui/index.html of https://{iseip}:9060/ers/sdk is toegankelijk, concludeert het dat de API-service werkt zoals verwacht.
Zie API-documentatie voor meer informatie over API.
De SSE Connector (Secure Software-Defined Edge Connector) is een service die ISE integreert met de Cisco Secure Software-Defined Access (SD-Access)-oplossing. Met de SSE-connector kan ISE veilig communiceren met het Cisco DNA Center, waardoor geautomatiseerd netwerkbeleid, segmentering en Edge-beveiligingsbeheer in een SD-Access-omgeving mogelijk zijn.
1. Integratie met beveiligingssystemen van derden: De SSE-connector vergemakkelijkt de integratie van Cisco ISE met beveiligingssystemen van derden zoals firewalls, inbraakpreventiesystemen (IPS), netwerktoegangscontrolesystemen (NAC) en security informatie- en gebeurtenisbeheersystemen (SIEM). Deze externe systemen kunnen op een veilige manier gegevens van ISE verzenden of ontvangen, wat kan worden gebruikt voor een meer dynamische beleidshandhaving.
2. Realtime bedreigingsinformatie: Door ISE aan te sluiten op andere beveiligingssystemen maakt de SSE-connector de uitwisseling van realtime bedreigingsinformatie mogelijk. Deze informatie kan verdachte activiteit, gecompromitteerde endpoints, of kwaadaardig gedrag omvatten dat door andere veiligheidssystemen wordt ontdekt, die ISE toestaan om toegangsbeleid dynamisch aan te passen dat op huidige bedreigingsniveaus of apparatenstatus wordt gebaseerd.
3. Geautomatiseerde sanering: De integratie die mogelijk wordt gemaakt door de SSE Connector kan geautomatiseerde probleemoplossing ondersteunen. Als een systeem bijvoorbeeld wordt gemarkeerd als gecompromitteerd door een extern security apparaat, kan ISE automatisch beleid afdwingen dat de toegang tot het netwerk blokkeert of het eindpunt omleidt naar een gesaneerd netwerksegment voor verder onderzoek.
1. De SSE-connector wordt alleen ingeschakeld wanneer de Passive ID-service in ISE is ingeschakeld.
2. De component sse-connector ( connector.log ) in debug biedt meer informatie over berichten die op SSE-connector betrekking hebben.
Hermes (pxGrid Cloud Agent) is een component die de integratie tussen ISE en het pxGrid (Platform Exchange Grid)-ecosysteem in een cloudomgeving vergemakkelijkt. Hermes is de cloud-gebaseerde agent die wordt gebruikt om communicatie mogelijk te maken tussen ISE en cloud-gebaseerde services of platforms, en ondersteunt het pxGrid-framework voor het delen van contextuele informatie over verschillende netwerk- en beveiligingssystemen.
1. Cloud-to-Premises-integratie: Hermes (pxGrid Cloud Agent) is ontworpen om naadloze integratie tussen cloudgebaseerde services en de ISE-infrastructuur op locatie te vergemakkelijken. Het breidt de kracht van pxGrid uit tot buiten de traditionele on-prem netwerkomgevingen, waardoor beveiligde gegevensuitwisseling en beleidshandhaving mogelijk wordt voor cloudgebaseerde toepassingen en services.
2. Ondersteuning van pxGrid-ecosystemen: pxGrid is een Cisco-platform voor het veilig delen van context en informatie over oplossingen voor netwerkbeveiliging. Hermes fungeert als cloudagent voor pxGrid, waardoor beveiligde real-time communicatie tussen ISE en verschillende cloudgebaseerde services mogelijk wordt. Deze integratie maakt het mogelijk dat netwerkbeveiligingsbeleid consistent is in zowel on-prem- als cloudomgevingen, waardoor het gemakkelijker wordt om beveiliging te beheren en af te dwingen.
3. Cloud-gebaseerde endpointzichtbaarheid: Een van de belangrijkste voordelen van Hermes is dat het zichtbaarheid biedt in cloud-gebaseerde endpoints, vergelijkbaar met hoe ISE zichtbaarheid biedt in on-prem endpoints. Het kan gegevens verzamelen over apparaten en gebruikers in de cloud, zoals hun conformiteitshouding, beveiligingsstatus en identiteitsinformatie. Hierdoor kan ISE netwerktoegangsbeleid op cloud-endpoints afdwingen, net als bij on-premisse-apparaten.
4. Naadloze uitbreiding van ISE naar cloudomgevingen: Een van de belangrijkste voordelen van Hermes is dat het een naadloze brug biedt tussen de ISE-omgeving op locatie en het groeiende aantal cloud-native applicaties. Dit maakt het gemakkelijker om het veiligheidsbeleid van ISE, authentificatiemethodes, en toegangscontroles tot wolkendiensten uit te breiden zonder een volledige revisie van de bestaande infrastructuur te vereisen.
1. Standaard is de Hermes-service uitgeschakeld. Door ISE te verbinden met de Cisco PxGrid-cloud wordt de Hermes-service ingeschakeld. Als de Hermes-service in ISE is uitgeschakeld, controleert u dus of de optie PxGrid Cloud is ingeschakeld vanuit ISE GUI > Administration > Implementation, selecteert u ISE-knooppunt. Bewerken, PxGrid Cloud inschakelen.
2. Handige debugs voor problemen met betrekking tot de Pxgrid-cloud zijn hermes.log en pxcloud.log. Deze debugs zijn alleen beschikbaar op Pxgrid-knooppunt waar Pxgrid Cloud is ingeschakeld.
McTrust (Meraki Sync Service) is een service die integratie tussen Cisco ISE- en Cisco Meraki-systemen mogelijk maakt, specifiek voor het synchroniseren en beheren van netwerkapparaten en toegangsbeleid. De McTrust-service fungeert als een connector die gebruikers- en apparaatinformatie synchroniseert tussen Meraki’s cloudbeheerde netwerkinfrastructuur en ISE-identiteitsbeheersystemen op locatie en beleidsbeheersystemen.
1. Naadloze integratie met Meraki-apparaten: McTrust stelt ISE in staat om te synchroniseren en te integreren met Meraki’s cloudbeheerde apparaten. Hieronder vallen apparaten zoals Meraki access points, switches en beveiligingstoestellen die deel uitmaken van Meraki’s portfolio. Hiermee kan ISE rechtstreeks communiceren met de infrastructuur van Meraki, waardoor het makkelijker wordt om beleid voor netwerktoegangscontrole toe te passen op Meraki-beheerde apparaten.
2. Geautomatiseerde synchronisatie van apparaten: De Meraki Sync-service synchroniseert automatisch het ISE-beleid met Meraki-netwerkapparaten. Dit betekent dat alle wijzigingen in het beleid voor netwerktoegangscontrole in ISE automatisch worden weergegeven in Meraki-apparaten, zonder dat handmatige tussenkomst vereist is. Dit maakt het voor beheerders gemakkelijker om netwerktoegang op zowel Meraki als ISE-platforms te beheren.
3. Beleidshandhaving voor Meraki-beheerde apparaten: Met McTrust kan ISE beleid voor netwerktoegang afdwingen op Meraki-apparaten op basis van authenticatie en apparaathouding. Het kan dynamisch beleid toewijzen aan Meraki-netwerkelementen, zoals het aanpassen van VLAN-toewijzingen, het toepassen van toegangscontrolelijsten (ACL’s) of het beperken van toegang tot bepaalde netwerkbronnen, afhankelijk van de veiligheidshouding van het apparaat of de gebruiker die toegang vraagt.
4. Integratie van Meraki Dashboard: McTrust integreert ISE direct met het Meraki Dashboard en biedt een uniforme managementinterface. Dankzij deze integratie kunnen beheerders netwerkbeleid en toegangscontroleregels bekijken en beheren voor zowel Meraki-apparaten als ISE-beheerde resources, allemaal vanuit de Meraki cloudbeheerde interface.
1. Log in op ISE GUI -> Werkcentra -> TrustSec -> Integraties -> Sync status. Controleer alle geconstateerde problemen/fouten.
2. Zorg ervoor dat alle admin-certificaten van ISE-knooppunten actief en geldig zijn.
Handige debug voor probleemoplossing Meraki Sync Service is meraki-connector.log.
De ISE Node Exporter-service is een component die wordt gebruikt voor het bewaken en verzamelen van prestatiegegevens van het ISE-systeem, met name van de ISE-knooppunten (of het nu administratieknooppunten, monitoringknooppunten of beleidsserviceknooppunten zijn).
1.Metriek exporteren: De ISE Node Exporter biedt een verscheidenheid aan prestatiegerelateerde parameters, zoals CPU-gebruik, geheugengebruik, schijfgebruik, netwerkstatistieken, systeembelasting en andere metriek op besturingssysteemniveau. Deze metingen worden dan gebruikt voor het monitoren van de gezondheid en prestaties van de ISE-knooppunt en kunnen worden gevisualiseerd in een monitoring-dashboard zoals Grafana.
2. Systeemgezondheidsbewaking: Door de prestatiegegevens naar Prometheus te exporteren, maakt de ISE Node Exporter continue monitoring van de gezondheid en de operationele status van het ISE-knooppunt mogelijk. Beheerders kunnen waarschuwingen op basis van vooraf gedefinieerde drempels aanmaken om hen te informeren over prestatievermindering of systeemproblemen.
3. Integratie van Prometheus: De ISE Node Exporter wordt meestal gebruikt in combinatie met Prometheus, een opensource monitoring- en waarschuwingstoolkit die is ontworpen voor betrouwbaarheid en schaalbaarheid. De Node Exporter onthult metriek op systeemniveau die door Prometheus kan worden geschraapt om tijdreeksgegevens te verzamelen en op te slaan.
De ISE Prometheus Service is een service die Prometheus met ISE integreert om de monitoring en verzameling van prestatiegegevens van het ISE-systeem mogelijk te maken. Prometheus is een opensource monitoring- en waarschuwingstoolkit die wordt gebruikt om tijdreeksgegevens te verzamelen, op te slaan en te analyseren, en de ISE Prometheus-dienst stelt ISE in staat om haar interne parameters aan Prometheus bloot te stellen voor monitoringdoeleinden.
1. Verzameling van gegevens voor bewaking: De ISE Prometheus Service is ontworpen om verschillende operationele en prestatieparameters met betrekking tot het ISE-systeem te exporteren. Deze parameters omvatten, maar zijn niet beperkt tot CPU-gebruik en systeembelasting, geheugengebruik, schijfgebruik en I/O-prestaties, netwerkstatistieken, statistieken over verificatieaanvragen, statistieken over beleidshandhaving, systeemstatus en uptime-gegevens
2. Integratie van Prometheus: De Prometheus Service staat ISE toe om gegevens te presenteren in een formaat dat compatibel is met Prometheus, dat deze gegevens regelmatig schraapt. Prometheus slaat de gegevens vervolgens op in een tijdreeksdatabase, waardoor het mogelijk is om trends en historische prestaties van het ISE-systeem te volgen.
3. Visualisatie en rapportage met Grafana: De Prometheus Service in ISE integreert naadloos met Grafana, een populaire open-source visualisatie tool. Na het exporteren van de metriek naar Prometheus, kunnen beheerders Grafana dashboards gebruiken om de gegevens in real-time te visualiseren. Hierdoor kunnen knelpunten in de prestaties, systeemtrends en mogelijke problemen bij de ISE-implementatie eenvoudig worden geïdentificeerd.
De ISE Grafana Service is een service die visualisatie van systeemprestatiegegevens biedt met behulp van Grafana, een open-sourceplatform voor monitoring en datavisualisatie. Het integreert met Prometheus om real-time en historische gegevens te tonen die van ISE zijn verzameld, waardoor beheerders interactieve dashboards kunnen maken die inzicht geven in de gezondheid, de prestaties en het gebruik van het ISE-systeem.
1. Aanpasbare dashboards: Grafana is zeer aanpasbaar, waardoor beheerders dashboards kunnen maken en wijzigen op basis van hun specifieke monitoringbehoeften. Aangepaste query's kunnen worden aangemaakt om specifieke datapunten uit Prometheus te halen, en die zoekopdrachten kunnen worden gevisualiseerd in verschillende formaten zoals grafieken, tabellen, heatmaps, en meer.
2. Gecentraliseerde bewaking voor gedistribueerde ISE-implementaties: Voor gedistribueerde ISE-implementaties, waarbij meerdere ISE-knooppunten op verschillende locaties worden ingezet, biedt Grafana een gecentraliseerde weergave van alle systeemparameters die bij elke knooppunt zijn verzameld. Hiermee kunnen beheerders de prestaties van de volledige ISE-implementatie vanaf één locatie bewaken.
3. Historische gegevens en trendanalyse: Met de gegevens die in Prometheus zijn opgeslagen, maakt Grafana een historische analyse van systeemparameters mogelijk, zodat beheerders trends in de loop der tijd kunnen volgen. Ze kunnen bijvoorbeeld controleren hoe het CPU-gebruik de afgelopen maand is veranderd of hoe de succespercentages van de verificatie zijn veranderd. Deze historische gegevens zijn waardevol voor capaciteitsplanning, trendanalyse en het identificeren van langetermijnkwesties.
1. ISE Grafana Service, ISE Prometheus Service en ISE Node Exporter Service werken samen en worden aangeduid als Grafana Stack Services. Er zijn geen specifieke debugs om deze services in te schakelen voor probleemoplossing. Deze opdrachten helpen echter bij het oplossen van problemen.
logboektoepassing tonen ise-prometheus/prometheus.log
logboektoepassing tonen ise-node-exporter/node-exporter.log
logboektoepassing tonen ise-grafana/grafana.log
Opmerking: Als de bewaking is ingeschakeld, moeten de ISE Node Exporter, ISE Prometheus Service en ISE Grafana Service worden uitgevoerd en moet de verstoring van een van deze services problemen veroorzaken bij het verzamelen van gegevens.
De ISE MNT LogAnalytics Elasticsearch is een onderdeel dat Elasticsearch integreert met de mogelijkheden voor ISE-bewaking en probleemoplossing (MNT). Het wordt gebruikt voor logaggregatie, zoekfuncties en analyses met betrekking tot ISE-logboeken en -gebeurtenissen. Elasticsearch is een veelgebruikte, gedistribueerde zoek- en analytics engine, en wanneer geïntegreerd met ISE, verbetert het de mogelijkheid van het systeem om loggegevens op te slaan, te analyseren en te visualiseren die gegenereerd worden door ISE-componenten.
1. Logopslag en indexering: De Elasticsearch-service in ISE is verantwoordelijk voor het opslaan en indexeren van de loggegevens die door ISE worden gegenereerd. Elasticsearch is een gedistribueerde zoek- en analytics-engine, en het maakt het mogelijk dat ISE-logbestanden worden opgeslagen op een manier die snel zoeken, opvragen en ophalen van specifieke gebeurtenissen, fouten of systeemactiviteiten mogelijk maakt.
2. Integratie met loganalyses: ISE MNT LogAnalytics Elasticsearch werkt samen met Log Analytics om een uitgebreide logboekoplossing te bieden. Het stelt ISE in staat om loggegevens te verzamelen met betrekking tot authenticatie, beleidshandhaving, systeemactiviteiten en andere activiteiten. Deze gegevens worden opgeslagen in Elasticsearch, waardoor het gemakkelijker is om gedetailleerde analyses uit te voeren en inzichten te krijgen in het gedrag van ISE.
3. Gecentraliseerde vastlegging: Door te integreren met Elasticsearch biedt ISE een gecentraliseerde logboekoplossing, die cruciaal is voor omgevingen die gedistribueerde logbestanden moeten verzamelen. Hiermee kunnen beheerders logbestanden van meerdere ISE-knooppunten bekijken en analyseren in één enkele, uniforme interface, waardoor het eenvoudiger is om problemen op te lossen en de prestaties van ISE te bewaken.
4. Loganalyse en probleemoplossing: De ISE MNT LogAnalytics Elasticsearch-service helpt beheerders systeemgedrag te analyseren en problemen op te lossen door loggegevens gemakkelijk toegankelijk te maken. Bijvoorbeeld, als er een plotselinge piek in authentificatiefouten of een onverwachte systeemstroomonderbreking is, staat Elasticsearch voor snel het vragen van loggegevens toe om de worteloorzaak te identificeren.
1. De Log analytics service in ISE wordt uitgeschakeld en opnieuw ingeschakeld. Navigeer naar Operations > System 360 > Instellingen > Log analytics (schakel optie uit en schakel in).
2. Het herstarten van de M&T LogAnalytics van ISE Root lost het probleem op. Neem contact op met Cisco TAC voor het uitvoeren van deze actie.
Bekende gebreken
ISE Logstash Service is een component die Logstash, een open-source dataverwerkingspipeline, integreert met ISE voor het verzamelen, omzetten en doorsturen van logbestanden. Logstash fungeert als een log collector en log forward, waardoor ISE-logs kunnen worden verwerkt en naar andere systemen kunnen worden verzonden voor analyse, opslag en monitoring. Logstash is een krachtige, opensource-tool die logbestanden of andere gegevens verzamelt, parseert en doorstuurt van verschillende bronnen naar een centrale locatie voor opslag, analyse en visualisatie. In de context van ISE wordt de ISE Logstash Service gebruikt om logbestanden in een gestructureerd formaat te verwerken en door te sturen naar een gecentraliseerd logboeksysteem, waar ze verder kunnen worden geanalyseerd, bewaakt en gevisualiseerd.
1. Logboekverzameling en -doorsturen: De belangrijkste functie van de ISE Logstash Service is om loggegevens te verzamelen van verschillende ISE-componenten (zoals authenticatielogboeken, systeemlogboeken, beleidsafdwingingslogboeken enzovoort.) en deze door te sturen naar een centrale locatie (meestal Elasticsearch of een ander logbeheersysteem) voor opslag en analyse.
2. Log parseren: Logstash kan de verzamelde logbestanden in gestructureerde formaten parseren. Het verwerkt ruwe loggegevens en extraheert zinvolle informatie hieruit, en transformeert de logbestanden tot een formaat dat gemakkelijker te bevragen en analyseren is. Dit kan filtering, het ontleden, en het verrijken van de gegevens impliceren alvorens het aan Elasticsearch of andere systemen door te sturen.
1. Geen specifieke debugs ingeschakeld. Toon echter logboektoepassing ise-logstash/logstash.log biedt inzichten over de status van de service.
2. Het uitschakelen en opnieuw inschakelen van de Log analytics-service in ISE moet helpen. Navigeer naar Operations > System 360 > Instellingen > Loganalyse ( uitschakelen en inschakelen met behulp van schakeloptie).
Bekende defects gerelateerd aan Logstash-service
ISE Kibana Service is een onderdeel dat Kibana, een opensource-datavisualisatietool, integreert met ISE-logboekregistratie- en monitoringinfrastructuur. Kibana werkt samen met Elasticsearch (die loggegevens opslaat en indexeert) om een krachtig platform te bieden voor het visualiseren, doorzoeken en analyseren van ISE-logbestanden en prestatiegegevens.
1. Gegevensvisualisatie: Met de ISE Kibana Service kunnen beheerders visuele representaties maken van de loggegevens die van ISE zijn verzameld. Dit kan zijn:
1. Als de ISE-kibanadienst niet actief is, loganalyse in ISE uitschakelen en opnieuw inschakelen, navigeer dan naar Operations > System 360 > Settings, Log analytics ( uit- en inschakelen met behulp van wisseloptie).
2. In veel scenario's kan er een dubbele vermelding zijn in de map /etc/hosts die een probleem veroorzaakt. Neem contact op met TAC om de dubbele invoer te verwijderen.
Bekende tekortkomingen in verband met de kwestie Kibana
Opmerking: Als Log Analytics is ingeschakeld, moet ISE MNT LogAnalytics Elasticsearch, ISE Logstash Service, ISE Kibana Service worden uitgevoerd en moet verstoring van een van deze services problemen veroorzaken tijdens het verzamelen van gegevens.
De ISE-native IPSec-service verwijst naar de ingebouwde ondersteuning voor IPSec (Internet Protocol Security), die beveiligde communicatie tussen ISE-knooppunten of tussen ISE en andere netwerkapparaten biedt. IPSec is een reeks protocollen die worden gebruikt om netwerkcommunicatie te beveiligen door elk IP-pakket in een communicatiesessie te verifiëren en te versleutelen.de native IPSec-service maakt deel uit van het bredere kader voor beveiliging en netwerktoegangsbeheer. Het biedt mogelijkheden om IPsec VPN-verbindingen te verwerken en te beheren, waardoor de gegevens die worden verzonden tussen het ISE-systeem en externe endpoints beveiligd zijn. Dit kan interacties met clientapparaten, netwerktoegangsapparaten (zoals routers of firewalls) of zelfs andere ISE-knooppunten inhouden, waar IPsec-encryptie en tunneling nodig zijn om gevoelige informatie te beveiligen.
1. Beveiligde communicatie via IPsec: De primaire functie van de ISE-native IPSec-service is het opzetten en onderhouden van beveiligde communicatiekanalen met IPsec. Dit impliceert het gebruik van encryptie en authentificatiemechanismen om ervoor te zorgen dat de gegevens die tussen ISE en andere apparaten worden overgebracht tegen onderschepping, het knoeien, en onbevoegde toegang worden beschermd.
2. IPsec VPN-connectiviteit: De ISE-native IPSec-service helpt VPN-verbindingen te vergemakkelijken die het IPsec-protocol gebruiken om een beveiligde, versleutelde tunnel voor gegevensoverdracht te bieden. Dit is met name handig voor externe werknemers, vestigingen of andere locaties die via onbetrouwbare netwerken (zoals internet) veilig toegang moeten krijgen tot de ISE-omgeving.
3. Ondersteuning voor Remote Access VPN: De Native IPSec-service kan worden betrokken bij externe VPN-configuraties voor toegang, waar gebruikers of apparaten die zich elders bevinden (zoals externe werknemers of vestigingen), veilig verbinding maken met het ISE-systeem via IPsec-tunnels. Deze service zorgt ervoor dat al het externe toegangsverkeer wordt versleuteld en geverifieerd voordat u de ISE-omgeving bereikt.
4.IPsec VPN-clientcompatibiliteit: ISE-native IPSec-service garandeert compatibiliteit met IPsec VPN-clients. Het ondersteunt gemeenschappelijke clientconfiguraties, waardoor apparaten veilig verbinding kunnen maken met het netwerk zonder gevoelige gegevens bloot te stellen aan risico's.
1. Er zijn geen specifieke debugs om in te schakelen voor Native IPSec-service. Controleer de logbestanden met de logboekapplicatie strongswan/charon.log staartcommand via ISE CLI.
2. Als er een probleem wordt geobserveerd voor de tunnel, controleert u de status van de tunnelinstelling via GUI > Beheer > Systeem > Instellingen > Protocollen > IPSec > Native IPSec.
MFC Profiler is een gespecialiseerde component die wordt gebruikt voor het profileren van netwerkapparaten en endpoints. Profiling is een belangrijk onderdeel van de toegangscontrole van het netwerk, aangezien het ISE in staat stelt om apparaten op het netwerk te identificeren, te classificeren en het juiste netwerkbeleid toe te passen op basis van het type apparaat en het gedrag.
1. Traffic Profiling: De MFC Profiler-service in ISE is verantwoordelijk voor het verzamelen en profileren van de verkeersgegevens. Het controleert hoe endpoints zich op het netwerk gedragen, met inbegrip van de soorten toepassingen die, de betreden diensten, en de verkeerspatronen die door apparaten worden tentoongesteld. Deze gegevens helpen bij het maken van een profiel voor elk endpoint.
2. Endpoint-profilering: Met de MFC Profiler-service kan ISE endpoints identificeren en categoriseren op basis van hun gedrag. Bijvoorbeeld, het ontdekt als een eindpunt een printer, een computer, of een mobiel apparaat is dat op verkeerspatronen wordt gebaseerd. Dit kan helpen bij het afdwingen van meer specifiek beleid voor verschillende soorten apparaten, waardoor de veiligheid en operationele efficiëntie worden verbeterd.
1. Navigeer naar ISE GUI -> Beheer -> Profiling -> MFC-profilering en AI-regels, controleer of de service is ingeschakeld.
2. Als de service is ingeschakeld maar wel als uitgeschakeld wordt weergegeven / niet wordt uitgevoerd via de opdracht Sise van de toepassingsstatus tonen in ISE CLI. Schakel de MFC-profielservice uit en weer in via Stap 1.
Handige debugs voor probleemoplossing : MFC-profilercomponent in debug. De logbestanden kunnen worden geverifieerd van ondersteuningsbundel of staart de logbestanden met behulp van show logging applicatie ise-pi-profiler.log staart commando via ISE CLI.
Bekend defect voor MFC profiler die niet lopen in plaats van gehandicapte staat tonen:
1. Om de services te herstellen moet u de services opnieuw opstarten met behulp van Application Stop ISE- en Application Start ISE-opdrachten via ISE CLI.
2. Als er een probleem is, zorg er dan voor dat er een ondersteuningsbundel wordt opgenomen van de ISE GUI / ISE CLI voor verdere verificatie van het probleem. Referentielink voor het maken van ISE-ondersteuningsbundel via GUI en CLI: Verzamel ondersteuningsbundel op de Identity Services Engine
3. Indien de problemen verband houden met hulpbronnen, het gemiddelde van de belasting, schijfgebruik, enz., is het verplicht om draad dump en heap dump voor analyse te verzamelen.
4. Voordat u het knooppunt opnieuw laadt, neemt u contact op met Cisco TAC en biedt u beveiligde logs voor verdere analyse.
Naast de problemen met ISE-services, zijn dit een aantal problemen die worden aangetroffen in ISE-knooppunten en de vereiste basisstappen voor probleemoplossing.
1. Controleer dat de door Cisco aanbevolen resources worden toegewezen aan de knooppunt met de opdracht Show inventaris via ISE CLI.
2. Voer vanuit de CLI van ISE-knooppunt de opdracht tech top uit om het resourcegebruik van ISE te controleren.
3. Controleer het schijfgebruik met de opdracht disk tonen via ISE-CLI.
4. Zuiver de inactieve eindpunten, maak de lokale schijf van het knooppunt leeg en voer upgradeopschonen uit.
Als het probleem zich blijft voordoen, neemt u contact op met Cisco TAC en levert u het beveiligde ondersteuningsbundel, de Heap dump en de Thread dump van het knooppunt waar het probleem zich voordoet.
Om de stapelgootsteen te beveiligen, login aan CLI van de knoop van ISE, stel de toepassing in werking vormen bevel ISE. Selecteer optie 22.
Om de thread dump te beveiligen, log in op de CLI van ISE-knooppunt, voer de applicatie configureer ISE-opdracht uit, selecteer optie 23. Thread dump is opgenomen in de ondersteuningsbundel of kan worden getaild via ISE CLI met behulp van show logging applicatie appserver/catalina.out commando.
De functie Monitoring and Troubleshooting (MnT) van ISE is een van de belangrijkste blokken van de ISE-architectuur die bewakings-, rapportage- en waarschuwingsfuncties biedt.
ISE geeft op veel plaatsen monitoringinformatie weer, waaronder:
Algemene problemen waargenomen in de categorie bewaking en probleemoplossing:
Debugs om op de MnT knooppunten worden toegelaten om de kwestie te versmallen:
Naast de vermelde componenten in debug, kan deze informatie helpen bij het oplossen van problemen:
Als u Syslog-services gebruikt voor MnT, is deze informatie vereist voor het oplossen van problemen:
Als de kwestie met de prestaties op de MnT knoop verband houdt, hebben wij deze informatie nodig:
1. tech top uitvoer van de ISE CLI van de MnT knooppunt.
2. Als de CPU hoog is, ziet u dan ook veel geheugen of veel ruilruimte?
3. Support bundel met heap dump en draad dump beveiligd.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
26-Mar-2025
|
Eerste vrijgave |